TS-453 Hack

Clarks · 12. Januar 2022

Moin Moin,

heute ist unser QNAP TS-453A wohl gehackt worden und es wurde (zumindest angefangen) alle Daten zu verschlüsseln. Dabei lag immer eine Txt Datei, dass man den Tor Browser laden sollte, eine bestimmte Adresse aufrufen und dann würde man per Zahlung von Bitcoins ein Passwort erhalten das die Dateien wieder entpackt.

So in etwa

Scheinbar waren noch nicht alle Dateien gepackt, so dass ich den NAS flux stromlos machte.

Wie sollte man jetzt am besten vorgehen? Platten raus, starten, das System desinfizieren, runterfahren, Platten wieder rein.....

Es sind 4 Platten im Raid5 Verbund. Zerschiesst man sich mit der Vorgehensweise das RAID oder könnte das so funktionieren?

Bin ziemlich am Boden, haben nicht für alle Daten ein Backup... Ich weiss allerdings auch nicht wie weit die Verschlüsselung gekommen ist, dauert ja wahrscheinlich auch ne Weile 10TB zu verschlüsseln.

Hatte jmd schonmal diesen Fall, oder weiss was jetzt zu tun ist?

Fragt sich mit vielen Grüßen in die Runde

Clark

Ps:

Ich finde es von QNAP schon ziemlich daneben mir dauernd irgendwelche Werbemails zu schicken, aber auf gravierende Sicherheitslücken nicht per Mail aufmerksam zu machen

Qnatsch · 12. Januar 2022

Zitat von Clarks

so dass ich den NAS flux stromlos machte.

Beim letzten Mal sollte man die NAS nicht ausschalten, weil sonst nicht mehr entschlüsselbar.

Zitat von Clarks

Wie sollte man jetzt am besten vorgehen? Platten raus, starten, das System desinfizieren, runterfahren, Platten wieder rein.....

Das System ist auf den Platten drauf. Ohne Platten gäbe es nix zu desinfizieren.

Auf jeden Fall erstmal nicht wieder einschalten und abwarten, ob Qnap oder die Community eine Lösung hat.

FSC830 · 12. Januar 2022

Du könntest hier lesen, ob Dir das hilft.

Aber mein persönliche Meinung: vergiss alles, lerne daraus und mache es jetzt besser!

Konkret: Das NAS war auf irgendeine Weise im Internet. Das sofort abstellen, Von extern nur noch per VPN zugreifen!

Alles andere ist Risiko. Auch das Zahlen der Bitcoins ist keine Option!

1. Weißt Du nicht, ob Du etwas dafür erhältst!

2. Weißt Du nicht, ob alle Daten wieder entschlüsselt werden!

3. Weißt Du nicht, welche Daten u.U. dem Hacker übermittelt werden!

4. Weißt Du nicht, welche Schadsoftware noch alles "im NAS wohnt".

5. Und überhaupt würde ich diesem System nicht mehr trauen und mein komplettes LAN (d.h. auch alle Clients) GRÜNDLICHST prüfen!!!

Gruss

Edit:

Na ja, wenn man ein Fahrzeug kauft, steht dort meist auch nicht explizit: fahren Sie in ein Stauende mit 100 km/h!

Manchmal findet sich noch der nette Hinweis die Geschwindigkeit immer der Situation anzupassen.

So ist es mit dem Zugriff auf das NAS aus dem Internet! Alles offen, keine Firewall, kein VPN -> dann besteht genau diese Gefahr.

Das ist aber nicht NAS spezifisch, sondern gilt auch für "normale" PCs und Netzwerke.

Und es ist auch nicht QNAP spezifisch, das die Werbe-Abteilungen solche Schwachstellen nicht groß in den Fokus rücken.

Der beste Schutz vor solchen Attacken ist und bleibt immer noch BRAIN 1.0!

Und im übrigen erhalte ich von QNAP die Security Advisories.

Anthracite · 13. Januar 2022

Wenn es nicht nur "so in etwa" war, sondern "exakt so" und die Verschlüsselung mit dem Programm 7z erfolgt ist, dann schau mal im Verzeichnis /share/CE_CACHEDEV1_DATA/.system/3213/ nach (geht nur in der Shell nach Login mit ssh). Wenn du Glück hast, stehen dort log-Dateien, die das Passwort zur Entschlüsselung enthalten.

Statt CE_CACHEDEV1_DATA kann das Verzeichnis auch anders heißen. Im Zweifelsfall liefert dir getcfg SHARE_DEF defVolMP -f /etc/config/def_share.info das Verzeichnis.

Ob das letzte Unterverzeichnis immer 3213 ist, weiß ich nicht mit Sicherheit. Ein ls -l im Verzeichnis .system liefert Auskunft.

Ansonsten kann es einen Versuch wert sein, mit Photorec gelöschte Dateien wieder herzustellen. Photorec ist ursprünglich für Fotos gedacht, stellt aber auch beliebige andere Dateien wieder her - allerdings nur solange, wie der durch das Löschen freigegebene Speicherplatz noch nicht wieder erneut verwendet wurde. Qnap hat photorec auch in das Produkt Qrescue integriert und stellt ein Verfahren "für Dumme" bereit. Schau dort mal in den Punkt "QRescue-Bedienungsanleitung für fortgeschrittene Benutzer".

Alternativ kann man die Platten in ein USB-Gehäuse einbauen und photorec an einem Linux-Rechner ausführen. Dies hat dann Vorteile, wenn man nicht weiß, ob der Verschlüsselungstrojaner noch aktiv ist. Bei anderen Raid-Typen als Raid 1 ist das aber schwierig.

Spätestens bevor du am Linux-Rechner anfängst, solltest du noch schnell ein Backup von den Dateien machen, von denen du noch kein Backup hast.

NapUser · 13. Januar 2022

Sehe ich das richtig, dass die Sicherheitslücke, auf die der TE sich bezieht (https://www.cybercrimepolice.c…ingend-update-einspielen/) ausgerechnet im QVPN-Dienst steckt ?

https://www.qnap.com/en/security-advisory/qsa-21-61

Clarks · 17. Januar 2022

Vielen Dank für die Antworten! (besonders @Anthracite)

Ich habe das NAS eigentlich fast nur aus dem Zweck um von der Ferne drauf zugreifen zu können und halt hier und da mal ein Link an jemanden zu schicken, der dann auch drauf zugreifen kann.

Wenn das nicht so einfach geht, weil da dauernd gravierende Sicherheitslücken sind, dann brauch ich das Teil eigentlich nicht...

Schon ziemlich peinlich was qnap da abliefert....

Wie gesagt, Werbemails können die mir schicken, aber nicht bei gravierenden Sicherheitslücken Bescheid sagen?!?

Naja, für andere Betroffene: hier eine Anleitung nach der ich vorgegangen bin (im Grunde der zweite Vorschlag von Anthracite, falls das Passwort nicht in der log Datei steht:

https://www.ikarussecurity.com/en/security-news-en/qlocker/

am besten das hier vorher durchlesen:

https://www.bleepingcomputer.c…-qnap-nas-ransomware-zip/

Habe bis jetzt 7800 Dateien sichern können, läuft aber wohl noch ein paar Tage (NAS enthält 10TB an Daten). Bis jetzt sieht es ganz gut aus, aber man sollte nichts neues auf den NAS speichern, weil sonst die Daten überschrieben werden.

Viel Glück

dolbyman · 17. Januar 2022

Dann doch lieber was Geld in dropbox,onedrive etc investieren ... da kümmern sich dann Andere um die Sicherheit

FSC830 · 17. Januar 2022

Zitat von Clarks

Wie gesagt, Werbemails können die mir schicken, aber nicht bei gravierenden Sicherheitslücken Bescheid sagen?!?

Nochmals: ich erhalte regelmäßig die Securtiy Advisories per mail.

Ob es Vorraussetzung ist, daß man bei QNAP auch einen Account hat, mit dem man sich im Support/Service Bereich anmelden kann, weiß ich nicht.

Evtl. hast Du auch irgendwo einen Haken falsch gesetzt.

Gruss

Clarks · 27. Januar 2022

Oh man:

https://www.computerbase.de/20…elt-nas-systeme-von-qnap/

Dieses mal hat sich Qnap auch dazu herabgelassen mir eine Mail zu schreiben.... Denen schwimmen wohl langsam die Felle weg.

Jagnix · 27. Januar 2022

Zitat von Clarks

Denen schwimmen wohl langsam die Felle weg.

Wenn man aus vergangenen Vorfällen nicht die richtigen Schlüsse zieht, kann das passieren.

TS-453 Hack

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

Multiple Vulnerabilities in jackson-databind

App Zugriff (von extern) auf verschlüsseltes Laufwerk

Verschlüsselungstrojaner auf NAS

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

Systemsteuerung - Sicherheit - Liste Zulassen/Verweigern

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

VPN - ganz allgemein

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur